Chromebook にデータを残さない 「管理対象ゲストセッション」を試してみた
みなさま Xin chao !
引き続き、Chromebook で色々試しています。
今回は、Chromebook 上にデータを残さず、シンクライアントとして使用することができる「管理対象ゲストセッション」を試してみました。
「管理対象ゲストセッション」とは
Google Chrome Enterprise ヘルプを見ると、以下のように説明されています。
管理対象ゲスト セッションを使用すると、複数のユーザーが Google アカウントにログインせずに 1 台の Chrome OS デバイスを共有できます。たとえば、Chrome デバイスをレンタル デバイスや共有パソコンとして設定することが可能です。
管理対象ゲスト セッションのデバイス - Google Chrome Enterprise ヘルプ より抜粋
「管理対象ゲストセッション」を使用するメリット
1. Chromebook を使用するためのユーザー管理が不要
「管理対象ゲストセッション」を使用しない Chromebook で Amazon WorkSpaces などの VDI (=仮想デスクトップ) 環境を使用する場合、以下のユーザーアカウントが必要になります。
- Chromebook にログインするためのユーザーアカウント (=Google アカウント)
- VDI 環境にログインするためのユーザーアカウント (=Active Directory アカウントなど)
(1) と (2) のユーザー・パスワード同期を行わない環境では、利用者は (1) と (2) それぞれのユーザー・パスワードを適切に管理しなければなりませんが、「管理対象ゲストセッション」を使用すると (1) が不要になり、オンプレミス環境で PC を利用する際と同様に (2) のみの管理とすることができます。
2. Chromebook 上にデータが残らない
Google アカウントでのログインを行うことなく複数のユーザーで 1 台の Chromebook を使用することを想定した機能であるため、ユーザーがログオフ (=Google アカウントでのログインはしないため、実際には「管理対象ゲストセッション」の終了) すると Chromebook 上のデータは削除され、別のユーザーに Chromebook 上のデータを誤用されてしまうことはありません。
3. ポリシーによる管理が可能
Chromebook へのログインが不要な「管理対象ゲストセッション」を使用する場合でも、Chromebook は企業に登録する必要があるため、管理者の管理下に置かれます。 デバイス向けのポリシー (=[デバイスの設定]) や「管理対象ゲストセッション」向けのポリシー (=[管理対象ゲスト セッションの設定]) など、数多くのポリシーによる事前設定や機能制限を行うことが可能です。
また、紛失時などにおいては、「管理対象ゲストセッション」を有効にしていない Chromebook 同様に、デプロビジョニング+初期状態へのリセットを行うことが可能です。
テレワークに最適な「管理対象ゲストセッション」
以上のメリットを活用することにより、テレワーク環境での VDI クライアントデバイスとして Chromebook を使用することが可能です。
Google Enterprise Japan 公式ブログでも、テレワークに最適として「管理対象ゲストセッション」が紹介されています。
以上を踏まえ、Amazon WorkSpaces のクライアントデバイスとして、Chromebook を「管理対象ゲストセッション」を有効にしてシンクライアント的に使ってみたいと思います。
「管理対象ゲストセッション」を使用するには、[管理対象ゲスト セッションの設定] ポリシーを設定します。 ポリシーの設定は、Google 管理コンソールで行います。 Google 管理コンソールの操作については、以下のブログをご参照ください。
前提
以下のような状態で試してみます。
- Chromebook はプロビジョニング (=企業に登録) 済み
- Chromebook は組織部門 "Chromebook検証 / demo03" に配置済み
- Amazon WorkSpaces 環境は既に構築済みで、WorkSpace に接続するための登録コード・ユーザー名の情報が手元にある
Google 管理コンソールで確認すると、Chromebook はこのように確認できる状態です。
やってみた
管理対象ゲスト セッションの設定 (Chrome 管理コンソールの操作)
管理対象ゲストセッションの有効化
Chromebook が配置されている組織部門 "demo03" を選択していることを確認したうえで、[管理対象ゲスト セッションの設定] の中から "管理対象ゲスト セッション" ポリシーを "管理対象ゲスト セッションを許可する" に設定します。 また、必須項目の "ログイン画面に表示するセッション名" を入力し、ポリシーを保存します (今回は "VDI接続用" にしています)。
アプリとインストールポリシーの設定
Chromebook が配置されている組織部門 "demo03" を選択していることを確認したうえで [管理対象ゲスト セッションの設定] の中から "[アプリと拡張機能] ページ" を開きます。
再度、Chromebook が配置されている組織部門 "demo03" を選択していることを確認したうえで [管理対象のゲスト セッション] をクリックします。
画面右下の [+] にカーソルを合わせ、"Chrome ウェブストアから追加" をクリックします。
Chrome ウェブストアで "Amazon WorkSpaces" を検索し、Amazon WorkSpaces アプリをクリックします。
アプリのリリース元が正しいことを確認し、[選択] をクリックします。
アプリが追加されました。
インストールされた Amazon WorkSpaces アプリを起動しやすいように、インストールポリシーを "自動インストールして固定する" に変更し、[保存] をクリックします。
その他の細かい設定
[ユーザーとブラウザの設定] にも存在した、以下のようなポリシーを必要に応じて設定可能です。
Web 閲覧のブロック
Web 閲覧を VDI 環境内で行う (=Chromebook のブラウザでは Web 閲覧を行わない) 場合、Chromebook 上では基本的にすべての Web 閲覧をブロックするために、[管理対象ゲスト セッションの設定] の中から、"URL のブロック" ポリシーの "URL ブラックリスト" として * (註 : 半角のアスタリスク) を指定します。
そのうえで、自社ホームページなど特定の URL のみ許可したい場合には、"URL ブラックリストの例外" に URL を指定します。 "URL ブラックリスト" に *を指定した場合、Chrome ブラウザのカスタマイズ時にアクセスする chrome://~ もブロックされてしまうため、必要であればこの "URL ブラックリストの例外" に指定します。
外部ストレージデバイスの無効化
Chromebook で外部ストレージデバイス (SD カード, USB フラッシュドライブ, MTP デバイスなど) を使用できないようにする場合、[管理対象ゲスト セッションの設定] の中から、"外部ストレージ デバイス" ポリシーを "外部ストレージ デバイスを許可しない" に設定します。
プリンタの追加を無効化
Chromebook にプリンタを追加できないようにする場合、[管理対象ゲスト セッションの設定] の中から、"ローカルプリンタの管理" ポリシーを "ユーザーに新しいプリンタの追加を許可しない" に設定します。
ログイン時にブラウザを起動させない
[管理対象ゲスト セッションの設定] の既定値では、Chromebook 利用者が「管理対象ゲストセッション」に入るとブラウザを自動的起動するようになっています。 ブラウザが自動起動しないようにする場合、"ログイン時にブラウザを起動する" ポリシーを "ログイン時にブラウザを起動しない" に設定します。
動作確認 (Chromebook の操作)
「管理対象ゲストセッション」に入る
Chromebook を起動すると、画面にはポリシーの "ログイン画面に表示するセッション名" で指定した "VDI接続用" が表示されています。 [→] をクリックします。
「管理対象ゲストセッション」における注意事項等が表示されます。 [→] をクリックし、「管理対象ゲストセッション」に入ります。
デスクトップ画面が表示され、しばらく待つと (今回試した際は 20 秒ほどでした) Amazon WorkSpaces アプリが自動的にインストールされ、下部に表示されます。
Amazon WorkSpace への接続確認
Amazon WorkSpace 利用開始の案内メールに記載されている、以下の情報が必要となります。
- Amazon WorkSpace にログインする際のユーザーの、パスワードを設定するためのリンク
- 登録コード
- Amazon WorkSpace にログインする際のユーザー名
Amazon WorkSpaces を初めて使い始めるユーザーの場合、まずは、Amazon WorkSpaces にログインする際のユーザーのパスワードを設定する必要があります。 既に Amazon WorkSpaces を使用しているユーザーの場合は、この手順でパスワードを設定する必要はありませんので、すでに設定済みのパスワードをご使用ください。
Amazon WorkSpace にログインする際のユーザーのパスワードを設定するためのリンクをクリックし、パスワードを設定します。 メールを Chromebook とは異なるデバイスで受信している場合、この操作は Chromebook 以外のデバイスでも行うことが可能です。
Chromebook で Amazon WorkSpaces アプリを起動し、登録コードを入力します。
ここで "[詳細設定] の表示" をクリックすると以下の項目を変更可能です。
- 画面の解像度 ・・・ Amazon WorkSpaces アプリの解像度
- スクロールの方向 ・・・ スクロールアクションに対する Amazon WorkSpaces アプリ内のスクロール方向
- このアカウントを記憶する ・・・ Amazon WorkSpace へのログイン情報を記憶するかどうかの設定 (ただし後述の通り「管理対象ゲストセッション」では記憶させることは不可能)
- 保存済み登録を有効にする ・・・ 登録コードを記憶するかどうかの設定、既定値の [はい] を選択したままにします (ただし後述の通り「管理対象ゲストセッション」では記憶させることは不可能)
[登録] をクリックすると、Amazon WorkSpace へのログインユーザー名、パスワードの入力が求められるので入力し [サインイン] をクリックします。 パスワードを忘れた場合、および、パスワードの有効期限が切れた場合、"パスワードを忘れた場合" をクリックすることで、パスワードを再設定することが可能です。
以下のメッセージは、入力した Amazon WorkSpaces へのログインユーザー名、パスワードを記憶することを可能にするための選択肢ですが、後述の通り「管理対象ゲストセッション」では記憶させることができません。
Amazon WorkSpace にログインできました。
Amazon WorkSpaces アプリを終了すると、「管理対象ゲストセッション」の終了 (=ログアウト) を求められます。 「管理対象ゲストセッション」を継続する場合は、[キャンセル] をクリックします。
このメッセージをキャンセルしてしまった場合、右下の [セッションを終了] をクリックすることで、「管理対象ゲストセッション」を終了することが可能です。
Chromebook 上にファイルを保存する
Chromebook 上に保存したファイルが、「管理対象ゲストセッション」に入り直した後どうなっているかを確認するために、適当なファイルを保存します (ファイルはクラスメソッド HP を PDF 形式で保存したものです)。
「管理対象ゲストセッション」を終了した後で 再度「管理対象ゲストセッション」に入る
いったん [セッションの終了] をクリックし、「管理対象ゲストセッション」を終了します。
その後、再度「管理対象ゲストセッション」に入り、Amazon WorkSpaces アプリを起動します。 すると、「管理対象ゲストセッション」を終了する前に、Amazon WorkSpaces アプリ [詳細設定] の "保存済み登録を有効にする" で "はい" を選択し登録コードを記憶させたにも関わらず、再度登録コードの入力を求められます ("保存された登録はありません" の文字が寂しさを感じます)。
つまり、Amazon WorkSpaces アプリに関する設定が、「管理対象ゲストセッション」の終了とともに削除されたということになります。
また、「管理対象ゲストセッション」終了前に Chromebook 上に保存したファイルも削除されています。
注意点
「管理対象ゲストセッション」を終了すると Amazon WorkSpaces アプリの設定も削除されます
繰り返しとなりますが、「管理対象ゲストセッション」を終了すると、Chromebook 上のデータが削除されます。 Chromebook 上に保存したファイルだけでなく、Amazon WorkSpaces アプリ、および、その設定も削除されます。
つまり、Amazon WorkSpaces アプリに登録した登録コードや、アカウント、さらに [詳細設定] で変更した内容も、「管理対象ゲストセッション」の終了とともに削除され、次回「管理対象ゲストセッション」に入った後に再度、登録・設定する必要があります。
特に、Amazon WorkSpaces の登録コードを記憶している利用者は少ないと思いますので、Amazon WorkSpaces にログインする際のユーザー名・パスワードとともに、記憶・管理する必要があります。
キー入力に制約があります
「管理対象ゲストセッション」で使用する chrome ウェブストア版の Amazon WorkSpaces アプリには、一部キー入力に関する制約があります。 制約は、当ブログ執筆時点の最新バージョン 2.4.13 で確認しています。 これらの制約は、Google Play (=Android) 版の Amazon WorkSpaces アプリには存在しませんが、当ブログ執筆時点において、「管理対象ゲストセッション」では Google Play (=Android) 版のアプリを使用することができないため、「管理対象ゲストセッション」を使用する際の制約事項となります。
「\」 (=半角の¥), 「_」 (=アンダースコア / アンダーライン) の入力ができない
Chromebook の「\」キーを押しても、Amazon WorkSpace 上では「]」キーを押したとして認識されます。 また、Chromebook の「\」キーを押しても、Amazon WorkSpaces 上では何も入力されないため、「Shift」+「\」キーで入力する「_」を入力することができません。
いずれも、Amazon WorkSpace 上でソフトウェアキーボードで入力する、または、IME 変換で入力することで回避します。
IME の ON / OFF ができない
Chromebook の 「かな←→英数」または「かな」キーを押しても、Amazon WorkSpaces 上では日本語 IME の ON / OFF が切り替わりません。
これは、Amazon WorkSpaces 上で IME のキー設定をカスタマイズし、"IME-オン/オフ" を行うためのキーを既定の "半角/全角" から "Ctrl+TAB" などに変更したうえで、Amazon WorkSpaces 上の IME を ON / OFF する場合は、Chromebook の「Ctrl」+「TAB」キーなどを押すことで回避します。
さいごに
Amazon WorkSpaces 接続用のクライアントとして、シンクライアント的に Chromebook を使うために「管理対象ゲストセッション」を有効にして使ってみました。
毎回行われるアプリのインストールが、通信環境によっては時間がかかる場合があること、Amazon WorkSpaces のユーザー名とパスワード以外に Amazon WorkSpaces の登録コードも適切に管理する必要があること、キー入力に若干の制約があること、これら 3 点を許容できる環境においては、比較的安価に入手でき、起動も速く、管理も容易な Chromebook をシンクライアントデバイスとして活用するのはアリだと思います。
Amazon WorkSpaces をはじめとする VDI を導入したけど、クライアントデバイスの管理にお悩みの IT 管理者の方、一度 Chromebook を試してみてはいかがでしょうか。